Уязвимость существует в java/org/apache/catalina/servlets/DefaultServlet.java в стандартном сервлете Apache Tomcat из-за некорректного ограничения таблиц стилей XSLT и позволяет злоумышленникам, действующим удаленно, обойти ограничения безопасности и читать произвольные файлы, используя специально сформированное веб-приложение, которое обеспечивает объявление внешних сущностей XML и содержит ссылку на сущность. Данная уязвимость связана с проблемой внешних сущностей XML (XXE).
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://tomcat.apache.org
| Балл | 4.3 — средняя опасность |